BDU:2022-03520: Уязвимость функции внешней аутентификации устройства управления защитой контента Cisco Secure Email and Web Manager (ранее Cisco Security Management Appliance и Cisco Email Security Appliance), связанная с ошибками разграничения доступа, позволяющая нарушителю получить полный доступ к веб-интерфейсу устройства

Описание уязвимости Уязвимость функции внешней аутентификации устройства управления защитой контента Cisco Secure Email and Web Manager (ранее Cisco Security Management Appliance и Cisco Email Security Appliance) связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить полный доступ к веб-интерфейсу устройства
Вендор Cisco Systems Inc.
Наименование ПО Email Security Appliances, Cisco Secure Email and Web Manager
Версия ПО
  • от 14.0.1 до 14.0.33 (Email Security Appliances)
  • от 13.0.0 до 13.0.277 (Cisco Secure Email and Web Manager)
  • от 13.6.2 до 13.6.090 (Cisco Secure Email and Web Manager)
  • от 13.8.1 до 13.8.90 (Cisco Secure Email and Web Manager)
  • от 14.0.0 до 14.0.418 (Cisco Secure Email and Web Manager)
  • от 14.1.0 до 14.1.250 (Cisco Secure Email and Web Manager)
Тип ПО ПО программно-аппаратных средств защиты, Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Данные уточняются
Тип ошибки Неправильная аутентификация
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 15.06.2022
Базовый вектор уязвимости
Уровень опасности уязвимости Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)
Возможные меры по устранению уязвимости
Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- отключение функции «Внешней аутентификации» в веб-интерфейсе устройства.
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Нарушение аутентификации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения